CrowdStrike는 Spyboy Terminator가 Microsoft Defender, Avast 및 더 많은 EDR을 죽인다고 말했습니다.

CrowdStrike의 글로벌 선임 이사인 Andrew Harris는 “Spyboy”라는 위협 행위자가 러시아 익명 시장( 비탈길). 이 캠페인은 지난 달인 5월 21일경에 시작된 것으로 보입니다.

저자인 Spyboy는 이 Terminator 도구가 23개의 EDR 및 바이러스 백신 컨트롤을 성공적으로 비활성화할 수 있다고 주장합니다. 여기에는 Microsoft, Sophos, CrowdStrike, AVG, Avast, ESET, Kaspersky, Mcafee, BitDefender, Malwarebytes 등의 제품이 포함됩니다. 이 소프트웨어는 US$300(싱글 바이패스)에서 US$3,000(올인원 바이패스)에 판매되고 있습니다.

CrowdStrike는 Terminator EDR 회피 도구가 ID ” CVE-2021-31728 ” 로 추적되는 보안 취약점을 잠재적으로 악용하는 데 사용되는 합법적이고 서명된 드라이버 파일 Zemana Anti-Malware를 생성한다고 지적합니다. 그러나 높은 권한과 UAC(사용자 계정 컨트롤) 수락이 필요합니다. VirusTotal 에 따르면 Elastic만이 파일을 악성으로 탐지하는 반면, 이 파일은 70개의 다른 공급업체에서 탐지되지 않습니다 .

Harris는 이 도구가 BYOVD(Bring Your Own Vulnerable Driver)가 시스템에 있는 보안 구성 요소를 비활성화하는 방식과 유사한 방식으로 작동한다고 말합니다.

작성 당시 Terminator 소프트웨어가 제대로 작동하려면 관리자 권한과 UAC(사용자 계정 컨트롤) 승인이 필요합니다. 적절한 수준의 권한으로 실행되면 바이너리는 합법적이고 서명된 드라이버 파일인 Zemana Anti-Malware를 C:\Windows\System32\drivers\ 폴더에 기록합니다. 드라이버 파일에는 4~10자의 임의 이름이 지정됩니다.

이 기술은 지난 몇 년 동안 위협 행위자가 사용하는 것으로 관찰된 다른 BYOD(Bring Your Own Driver) 캠페인과 유사합니다.

정상적인 상황에서 드라이버 이름은 zamguard64.sys 또는 zam64.sys 입니다 . 드라이버는 “Zemana Ltd.”가 서명했습니다. 96A7749D856CB49DE32005BCDD8621F38E2B4C05 지문이 있습니다 .

디스크에 기록되면 소프트웨어는 드라이버를 로드하고 AV 및 EDR 소프트웨어의 사용자 모드 프로세스를 종료하는 것이 관찰되었습니다.

데모에서 공격자는 CrowdStike Falcon EDR이 터미네이터의 도움으로 성공적으로 비활성화되었음을 보여주었습니다. 왼쪽(아래)의 이미지는 Falcon이 여전히 실행 중인 것을 보여주고 오른쪽 이미지는 Falcon 프로세스가 종료되었음을 보여줍니다.

Reddit 의 Andrew Harris의 게시물 ( Twitter 의 Soufiane을 통해 ) 에서 Spyboy의 Terminator EDR 킬러에 대한 자세한 기술 정보를 찾을 수 있습니다 .